Unconstrained Delegation
Sınırsız delege etme
Bu, bir Etki Alanı Yöneticisi'nin etki alanı içindeki herhangi bir Bilgisayara ayarlayabileceği bir özelliktir. Ardından, bir kullanıcı oturum açtığında, o kullanıcının TGT'nin bir kopyası DC tarafından sağlanan TGS içinde gönderilecek ve LSASS'ta belleğe kaydedilecektir. Bu nedenle, makinede Yerel Yönetici ayrıcalıklarına sahipseniz, biletleri dökerek ve kullanıcıları taklit ederek herhangi bir makinede işlem yapabilirsiniz.
Bu nedenle, bir etki alanı yöneticisi "Sınırsız Delege Etme" özelliği etkinleştirilmiş bir Bilgisayara oturum açarsa ve o makinede yerel yönetici ayrıcalıklarına sahipseniz, biletleri dökerek ve Etki Alanı Yöneticisini herhangi bir yerde taklit edebilirsiniz (etki alanı yükseltme).
Bu özelliği içeren Bilgisayar nesnelerini bulabilirsiniz, userAccountControl özniteliğinin ADS_UF_TRUSTED_FOR_DELEGATION içerip içermediğini kontrol ederek. Powerview bunu şu şekilde yapar: ‘(userAccountControl:1.2.840.113556.1.4.803:=524288)’ LDAP filtresi ile:
Yönetici (veya kurban kullanıcı) biletini belleğe Mimikatz veya Rubeus ile yükle Pass the Ticket için. Daha fazla bilgi: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ ired.team'da Sınırsız delege etme hakkında daha fazla bilgi.
Zorunlu Kimlik Doğrulama
Bir saldırgan, "Sınırsız Delege Etme" için izin verilen bir bilgisayarı ele geçirebilirse, bir Yazıcı sunucusunu otomatik olarak giriş yapmaya kandırabilir ve sunucunun belleğinde bir TGT kaydedebilir. Ardından, saldırgan, kullanıcı Yazıcı sunucusu bilgisayar hesabını taklit etmek için bir Pass the Ticket saldırısı gerçekleştirebilir.
Bir yazıcı sunucusunun herhangi bir makineye giriş yapmasını sağlamak için SpoolSample kullanabilirsiniz:
Eğer TGT bir etki alanı denetleyicisinden geliyorsa, bir DCSync saldırısı gerçekleştirebilir ve DC'den tüm karma değerlerini elde edebilirsiniz. Bu saldırı hakkında daha fazla bilgi için ired.team.
İşte kimlik doğrulamayı zorlamak için başka yollar:
pageForce NTLM Privileged AuthenticationHafifletme
DA/Yönetici girişlerini belirli hizmetlere sınırlayın
Ayrıcalıklı hesaplar için "Hesap hassas ve devredilemez" olarak ayarlayın.
Last updated